Acuerdo de tratamiento de datos (DPA)
- Este DPA se celebra entre usted (el Responsable del tratamiento) y ZEVRA (el Encargado del tratamiento), de conformidad con el artículo 28 del RGPD.
- Se aplica a todas las herramientas del Store de Zevra y a los servicios Studio que impliquen datos personales de terceros.
- ZEVRA solo trata sus datos siguiendo sus instrucciones documentadas y en el marco estricto de los servicios contratados.
- Sus datos están protegidos mediante cifrado TLS 1.2+, control de acceso (RBAC), copias de seguridad cifradas y registro de actividad.
- Toda violación de datos se le notifica en un plazo de 72 horas.
- Al finalizar el contrato, sus datos se le devuelven o se destruyen de forma segura, con certificado.
- Los subencargados de tratamiento (Vercel, Anthropic, OpenAI, Google, DILA) figuran en el Anexo A con sus garantías de transferencia.
Preámbulo — Partes y ámbito de aplicación
El presente Acuerdo de Tratamiento de Datos Personales (en adelante, el «DPA») se celebra entre las siguientes partes:
Identificación de las partes
- Responsable del tratamiento
- El Cliente, persona física o jurídica que ha contratado los servicios de Zevra.
- Encargado del tratamiento
- ZEVRA, SAS con un capital de 1 000 euros
- Inscripción registral
- RCS Toulon — SIREN 101 202 216
- Domicilio social
- Le Pradet (83), Francia
- Contacto
- contact@zevra.tech
- Representante legal
- Alexis Deborde, Presidente
Ámbito de aplicación
El presente DPA se aplica al conjunto de los siguientes servicios cuando impliquen el tratamiento de datos personales de terceros:
- Herramientas del Store: MCP Factory, Supernovia, Lexform Pro, Plume
- Desarrollo a medida: todo proyecto de desarrollo realizado por ZEVRA por cuenta del Cliente
- Servicios Studio: prestaciones que impliquen el tratamiento de datos personales de terceros
El presente DPA complementa las Condiciones Generales de Venta y de Uso (CGVU) de ZEVRA y es indisociable de las mismas.
Artículo 1 — Definiciones
A los efectos del presente DPA, los siguientes términos tienen el significado que se les atribuye a continuación:
- Datos personales
- Toda información relativa a una persona física identificada o identificable, en el sentido del artículo 4.1 del RGPD.
- Tratamiento
- Cualquier operación o conjunto de operaciones realizadas sobre datos personales, en el sentido del artículo 4.2 del RGPD (recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación, difusión, supresión, destrucción, etc.).
- Violación de datos personales
- Toda violación de la seguridad que ocasione, de forma accidental o ilícita, la destrucción, la pérdida, la alteración, la comunicación no autorizada o el acceso no autorizado a datos personales transmitidos, conservados o tratados.
- Subencargado de tratamiento
- Todo tercero encargado del tratamiento al que ZEVRA recurre para ejecutar la totalidad o parte de los tratamientos realizados por cuenta del Cliente.
- RGPD
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Artículo 2 — Objeto y duración
2.1 Objeto
El presente DPA define las condiciones en las que ZEVRA trata los datos personales por cuenta del Cliente, en el marco exclusivo de la ejecución de los servicios previstos en el Contrato principal.
ZEVRA actúa en calidad de encargado del tratamiento en el sentido del artículo 28 del RGPD. Solo trata los datos personales siguiendo instrucciones documentadas del Cliente, salvo obligación legal en contrario.
2.2 Duración
El presente DPA surte efecto en la fecha de contratación de los servicios y permanece en vigor durante toda la duración del Contrato principal.
Al vencimiento o a la resolución del Contrato principal, ZEVRA procede a la supresión o a la devolución de los datos personales según las modalidades previstas en el artículo 9.
ZEVRA no hace nada con sus datos más allá de lo necesario para prestarle los servicios. En cuanto finaliza el contrato, sus datos desaparecen, salvo que usted solicite su devolución.
Artículo 3 — Naturaleza, finalidades, tipos de datos y categorías de personas
El cuadro siguiente describe las características de los tratamientos realizados por ZEVRA por cuenta del Cliente:
| Dimensión | Detalle |
|---|---|
| Naturaleza de las operaciones | Almacenamiento, análisis, transformación, generación, seudonimización, búsqueda |
| Finalidades del tratamiento | Prestación de los servicios contratados: análisis de documentos jurídicos, generación de contenido, investigación jurídica, seudonimización de piezas, asistencia mediante inteligencia artificial |
| Tipos de datos tratados | Identidad de las partes en litigios o actos, datos de procedimiento, expedientes jurídicos, datos relativos a empleados o a terceros, datos de contacto profesionales |
| Categorías especiales (art. 9 RGPD) | Infracciones y condenas penales, datos de salud, datos sindicales: el Cliente sigue siendo el único responsable de la licitud de estos tratamientos sensibles |
| Categorías de personas afectadas | Partes en procedimientos judiciales, clientes del Cliente, empleados, terceros mencionados en actos o documentos jurídicos |
Si sus expedientes contienen datos de categorías especiales (datos de salud, infracciones penales, afiliación sindical: art. 9 RGPD), usted es el único responsable de la base jurídica que autorice su tratamiento. ZEVRA no verifica la licitud de estos tratamientos y no puede sustituirle en ello.
Artículo 4 — Obligaciones de ZEVRA
En su calidad de encargado del tratamiento, ZEVRA se compromete a respetar las ocho obligaciones fundamentales siguientes:
4.1 Instrucciones documentadas
ZEVRA solo trata los datos personales sobre la base de instrucciones documentadas del Cliente. A falta de instrucción, no se efectúa ningún tratamiento, salvo obligación legal.
4.2 Confidencialidad del personal
ZEVRA vela por que las personas autorizadas a tratar los datos personales estén sujetas a una obligación de confidencialidad adecuada o vinculadas por una obligación legal de confidencialidad.
4.3 Medidas de seguridad
ZEVRA aplica las medidas técnicas y organizativas previstas en el artículo 5 para garantizar un nivel de seguridad adecuado al riesgo.
4.4 Subencargados de tratamiento
ZEVRA respeta las condiciones relativas al recurso a subencargados de tratamiento previstas en el artículo 6, en particular la información previa y el derecho de oposición del Cliente.
4.5 Asistencia con los derechos de las personas
ZEVRA asiste al Cliente, en la medida de lo posible, en el ejercicio de los derechos de las personas afectadas: derecho de acceso, rectificación, supresión, portabilidad y oposición.
4.6 Asistencia en seguridad y conformidad
ZEVRA ayuda al Cliente a garantizar el cumplimiento de las obligaciones relativas a la seguridad, las evaluaciones de impacto (EIPD) y la consulta previa a la CNIL si fuera necesaria.
4.7 Auditorías e información
ZEVRA pone a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones. Toda auditoría requiere un preaviso escrito de 30 días hábiles.
4.8 Alerta de conformidad
ZEVRA informa de inmediato al Cliente si, en su opinión, una instrucción infringe el RGPD o cualquier otra disposición aplicable en materia de protección de datos.
Artículo 5 — Medidas de seguridad
ZEVRA aplica las siguientes medidas para garantizar la seguridad, la confidencialidad y la integridad de los datos personales tratados.
Medidas técnicas
- Cifrado en tránsito: todas las comunicaciones se cifran mediante TLS 1.2 como mínimo
- Control de acceso (RBAC): acceso a los datos limitado según el rol y la necesidad de conocer
- Registro de actividad: trazabilidad de los accesos y de las operaciones sobre los datos
- Seudonimización: aplicada en el marco de Lexform Pro para los documentos jurídicos sensibles
- Separación de entornos: entornos de desarrollo, prueba y producción estrictamente aislados
- Copias de seguridad cifradas: copias de seguridad periódicas con cifrado en reposo
- Gestión de vulnerabilidades: supervisión continua, aplicación de los parches de seguridad en los mejores plazos
Medidas organizativas
- Política de confidencialidad interna: normas internas documentadas sobre la gestión de los datos personales
- Formación del personal: sensibilización periódica sobre los retos de la protección de datos
- Procedimiento de violaciones: procesos formales de detección, análisis y notificación de los incidentes de seguridad
- Acceso limitado: principio del mínimo privilegio aplicado a todos los accesos a los datos
- Selección de los encargados: evaluación de las garantías ofrecidas por los subencargados de tratamiento antes de cualquier contratación
Artículo 6 — Subencargados de tratamiento
6.1 Lista actual
El Cliente autoriza a ZEVRA a recurrir a los subencargados de tratamiento que figuran en el Anexo A. Esta autorización es válida durante toda la duración del Contrato principal.
6.2 Modificación de la lista
Antes de toda incorporación o sustitución de un subencargado de tratamiento, ZEVRA lo notifica al Cliente por escrito con un preaviso de 30 días naturales. Dicha notificación precisa:
- La identidad del nuevo encargado del tratamiento
- El país de establecimiento y el lugar de tratamiento
- La naturaleza de las actividades subcontratadas
- El mecanismo de transferencia aplicable si los datos salen del EEE
El Cliente dispone de un derecho de oposición motivado en el plazo de 30 días. En caso de oposición no resuelta, el Cliente puede resolver el Contrato sin gastos por razón de esta modificación.
6.3 Responsabilidad de ZEVRA
ZEVRA impone a cada subencargado de tratamiento obligaciones equivalentes a las del presente DPA en materia de protección de datos. ZEVRA sigue siendo plenamente responsable ante el Cliente del cumplimiento de estas obligaciones por parte de sus subencargados de tratamiento.
Si ZEVRA cambia un proveedor técnico que afecta a sus datos, se le informa con 30 días de antelación. Usted puede negarse y, si el desacuerdo persiste, puede marcharse sin penalización.
Artículo 7 — Transferencias fuera de la Unión Europea
Algunos subencargados de tratamiento de ZEVRA están establecidos fuera del Espacio Económico Europeo (EEE), en particular en Estados Unidos. Estas transferencias se rigen por los siguientes mecanismos, de conformidad con el Capítulo V del RGPD:
- Cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea mediante la Decisión 2021/914, de 4 de junio de 2021, aplicables a todas las transferencias a países terceros sin decisión de adecuación
- Marco de Privacidad de Datos UE-Estados Unidos (DPF) cuando el encargado del tratamiento está certificado, como complemento de las CCT
El detalle de los mecanismos de transferencia aplicables a cada subencargado de tratamiento figura en el cuadro del Anexo A.
Cuando sus datos pasan por servidores estadounidenses (p. ej. Anthropic para los modelos de IA), se aplican contratos conformes al RGPD. Estas garantías se imponen antes de cualquier intercambio de datos.
Artículo 8 — Notificación de las violaciones de datos
8.1 Plazo de notificación
En caso de violación de datos personales, ZEVRA notifica al Cliente en un plazo de 72 horas tras haber tenido conocimiento de ella, por vía electrónica a la dirección comunicada en el momento de la contratación.
8.2 Contenido de la notificación
La notificación contiene, en la medida de lo posible en el momento de su transmisión, la siguiente información:
- La naturaleza de la violación: tipo de incidente, causa probable, vector de ataque identificado
- Las categorías y el número aproximado de personas afectadas
- Las categorías y el número aproximado de registros de datos personales afectados
- Las consecuencias probables de la violación
- Las medidas adoptadas o previstas para remediar la violación y atenuar sus efectos
- Los datos de contacto del punto de contacto en ZEVRA
8.3 Comunicación escalonada
Cuando no se disponga de toda la información en el plazo de 72 horas, ZEVRA puede comunicar la información de forma escalonada, sin dilación indebida, precisando las razones del retraso.
8.4 Responsabilidad del Cliente
Corresponde al Cliente, en su calidad de Responsable del tratamiento, evaluar si la violación debe notificarse a la autoridad de control competente (CNIL) o a las personas afectadas, de conformidad con los artículos 33 y 34 del RGPD.
Si algo sale mal con sus datos, se le avisa en menos de 72 horas con todo lo que se sabe. Es usted quien decide después si la CNIL y sus clientes deben ser informados.
Artículo 9 — Destino de los datos al término del contrato
Al vencimiento o a la resolución del Contrato principal, el Cliente dispone de un plazo de 30 días naturales para ejercer su derecho de elección:
- Opción 1 — Devolución
- ZEVRA devuelve la totalidad de los datos personales del Cliente en un formato estructurado y de uso común (JSON o CSV), que permite la portabilidad a otro servicio.
- Opción 2 — Destrucción segura
- ZEVRA procede a la supresión segura y definitiva de todos los datos personales, así como de todas las copias existentes, y entrega al Cliente un certificado de destrucción.
- Opción por defecto
- A falta de solicitud expresa en el plazo de 30 días, ZEVRA procede a la supresión definitiva de los datos sin certificado automático.
- Excepción legal
- ZEVRA puede conservar determinados datos más allá de este plazo únicamente si una obligación legal o reglamentaria le obliga a ello, y durante el tiempo estrictamente necesario para el cumplimiento de dicha obligación.
Cuando se marcha, usted elige: recuperar sus datos (formato JSON o CSV) o hacerlos borrar con un certificado. Si no dice nada en 30 días, se borra todo.
Artículo 10 — Responsabilidades
10.1 Responsabilidad del Cliente
El Cliente es el único responsable de la conformidad de los tratamientos de datos personales que confía a ZEVRA, en particular:
- La determinación de las bases jurídicas de los tratamientos
- La información y, en su caso, la obtención del consentimiento de las personas afectadas
- La licitud del tratamiento de categorías especiales de datos (art. 9 RGPD)
- El respeto de los derechos de las personas afectadas en calidad de Responsable del tratamiento
10.2 Responsabilidad de ZEVRA
La responsabilidad de ZEVRA en calidad de encargado del tratamiento se rige por las disposiciones del artículo 82 del RGPD, dentro de los límites y condiciones previstos en el artículo 7.5 de las CGVU.
ZEVRA no es responsable de los daños causados por el Cliente o por instrucciones no conformes al RGPD transmitidas por el Cliente.
Artículo 11 — Derecho aplicable y jurisdicción competente
El presente DPA se rige por el derecho francés, sin perjuicio de las disposiciones imperativas del RGPD aplicables en la Unión Europea.
En caso de litigio relativo a la interpretación o a la ejecución del presente DPA, las partes acuerdan aplicar las reglas de competencia definidas en el artículo 16 de las CGVU de ZEVRA.
El presente DPA está redactado en lengua francesa. En caso de traducción a otro idioma, prevalecerá la versión francesa.
Anexo A — Lista de los subencargados de tratamiento
La lista que figura a continuación recoge los subencargados de tratamiento a los que ZEVRA recurre en el momento de la firma del presente DPA, de conformidad con el artículo 6.1.
| Encargado del tratamiento | País | Actividad | Mecanismo de transferencia |
|---|---|---|---|
| Vercel Inc. | Estados Unidos | Alojamiento e infraestructura de ejecución de las aplicaciones | CCT (2021/914) + DPF UE-EE. UU. |
| Anthropic PBC | Estados Unidos | Modelos de lenguaje Claude (inferencia IA) | CCT (2021/914) |
| OpenAI LLC | Estados Unidos | Modelos de lenguaje GPT (inferencia IA) | CCT (2021/914) + DPF UE-EE. UU. |
| Google LLC | Estados Unidos | Modelos de lenguaje Gemini (inferencia IA) | CCT (2021/914) + DPF UE-EE. UU. |
| DILA | Francia | API Légifrance — acceso en lectura a los textos oficiales | UE — sin transferencia fuera del EEE |
Estos proveedores nos permiten ejecutar las herramientas de IA y alojar la aplicación. Cada uno está vinculado por un contrato que garantiza la protección de sus datos. La DILA (Légifrance) es francesa: sus datos no salen de Europa a través de este canal.
Firma y aceptación
El presente DPA es aceptado sin reservas por el Cliente en el momento de la contratación de los servicios de Zevra. Esta aceptación en línea tiene valor de firma electrónica en el sentido del artículo 1366 del Código Civil francés.
Para las prestaciones de desarrollo a medida, cualquiera de las partes puede exigir una firma formal del presente DPA. En tal caso, ZEVRA está representada por:
- Representante
- Alexis Deborde, Presidente de ZEVRA SAS
- contact@zevra.tech
¿Tiene alguna pregunta sobre este DPA o sobre la protección de sus datos?
ZEVRA SAS — Alexis Deborde, Presidente — Le Pradet (83)